瑞星卡卡安全论坛

附件: 中病毒的后的截图.rar (2011-2-3 17:40:02, 288.40 K)
该附件被下载次数 497

结果任务管理器里有70多个进程,然后自动突然重启.本想GHOST恢复一下就没事了,结果GHOSH恢复下主页还是被改了.MD5效验GHO文件也没变.现在把全部分区删除后再重装系统就好了,一直以为GHO恢复是万能的.....以后再也不能乱点了.

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)

编辑原因,问题解决了,幸好中了这病毒很明显如果隐藏的好的话GHOST恢复就以为安全了,现在又多学了一招,以后恢复前要先看下MBR区了

lz小心啊，要是中了鬼影，把引导区给感染了的话，重装都没用了。

这应该是插入式的病毒，采用的是进程插入方他们插入正常的进程。正常情况下开机进程过多说明你的启动项和软件服务开的多，侧面反映应用软件多

升级瑞星杀毒软件并全盘查杀，再使用金山系统急救箱应该可以解决。http://www.duba.net/jijiu/index.shtml  无法解决继续跟帖，手工清除:kaka12:

不要随便打开.exe的文件，一定要小心啊，运行之前用是杀毒软件扫描一下

看进程类似木马下载者或者是乱安软件的程序

该用户帖子内容已被屏蔽

也有可能是你朋友的电脑感染了病毒，自动发给你的，原来qq上不就老是这些东西...
exe文件尤其要小心啊，而且那个文件的名字看着就奇怪。建议楼主以后将杀软的文件监控开启，自动对下载的文件都进行查杀。

原帖已删除

原帖已删除

应该是这个病毒,用WinHex比较了下,在0扇区的D0位置分区全删除再重建后没中病毒的情况下是8B 4E 02 8E 56 00,而中病毒后为B9 36 00 B6 00 90
还有100位置正常时为6A 00 6A 00 FF 76 0A FF 76 08
中病毒后为                6A 00 6A 00 68 00 00 68 35 00  ,这些是用系统安装盘删除分区后再创建分区进行的比较,如果用DiskGenius更新MBR得到的数据那也是有很大的不同的.还有更重要的是在1到62扇区也被加入了很多数据,而且每次中毒测试位置都不一样有时候是从1扇区开始有时候又是从53扇区开始,这些地方刚创建分区时数据都是00,而中了病毒后不更新MBR就把后面的1到62扇区修改为00开始时就会出现Error Loading Operating System停在这.多次测试发现其它不用把硬盘上每个分区都删除的,只要用XP安装盘运行到那出现安装选择哪一分区时选择C盘按L删除第1分区然后再搂L创建出来MBR就更新了而且是与删除全部分区再创建出来的是一样的,其它盘的数据就不会丢失了.别外这个病毒太智能了有时候把MBR恢复了其它盘也删除下了AutoRun.inf和其它盘下的一切,然后GHOST恢复再点这个病毒同样会修改主出来"改变你的一生"IE快捷等,但是有时候它又不去改变MBR区.还有下载的软件有时候是七喜和呱呱KTV歌等,今天试了又成了其它了,而且还会不断的上传查了下电信的清单都上传了200多兆数据了

,这些地方刚创建分区时数据都是00,
-------------------------------------------------------
另忘了说一下这些地方我是先用WinHex清0的,用XP安装好像他只管0扇区,61到62扇区好像不管的

区然后再搂L创建出来
--------------------------------
是按C创建出来原来那删除的分区...又打错字了

原来楼主是强人，难怪会这么大胆……

这个病毒还挺顽固的，看来有时候朋友也不能完全相信。